Umas das maiores dificuldades das empresas é conseguir disponibilizar um ambiente de acesso à Internet para os seus visitantes sem prejudicar o ambiente corporativo e conseguir ao menos ter um mínimo de segurança e controle do que está sendo acessado. Tais acessos são conhecidos por rede de visitantes ou guests.
Pensando neste cenário pensamos em uma solução que utiliza os recursos de portal para acesso à rede guest do Forescout.
Basicamente um usuário cadastra seus dados para solicitar acesso à internet utilizando o portal da Forescout. O Forescout irá funcionar como um DNS para o acesso ao ambiente da rede guest para controle de acesso. Após a autenticação do usuário no portal, o DNS do Forescout irá redirecioná-lo para a Internet.
Este artigo é um passo a passo de como criar um portal de acesso à Internet
Primeiro precisamos verificar se o plugin de dns enforce está instalado no Forescout, este plugin é gratuito. Para isto basta clicar na engrenagem do canto superior direito e depois clicar em plugins. Caso não esteja instalado bastar fazer o download em updates.forescout.com e depois clicar em install.
Após instalar o plugin é necessário configurar. Para configurar selecione o plugin DNS Enforce e depois clique em configure. Digite o endereço IP que esteja no mesmo range da interface de gerência do Forescout, para este endereço ser o DNS do ambiente.
Após configurar o IP, na withelist você consegue selecionar alguns endereços que farão by-pass no DNS Enforce.
Após instalado e configurado o Plugin DNS, devemos criar a política para acesso à rede guest. Para isso basta clicar Policy, create new policy e depois selecionar Corporate/Guest Control para iniciar o wizard.
Clicar em next digitar o nome da política, clicar em next novamente e selecionar a rede guest que deverá estar criada no Forescout.
Após selecionar a rede clicar em finish para concluir.
Criada a policy devemos clicar na sub policy guest hosts e adicionar a ação http login.
Feito isso devemos selecionar HTTP Login e clicar em edit. Na aba Guests podemos escolher se a aprovação será feita automaticamente ou se será necessária a aprovação por alguma pessoa ou grupo. Caso seja necessária uma aprovação devemos digitar o endereço IP do responsável pela aprovação.
Na aba seguinte (“Corporate”) selecionar se os usuários corporativos terão ou não acesso ao ambiente guest.
Na aba login page, se desejar, você poderá personalizar a mensagem de início da tela do portal.
Na aba registration page você poderá personalizar a mensagem de instruções de registro bem como os campos que serão necessários para efetuar o registro.
Após realizar as alterações clicar em ok.
Com isto teremos a solução de portal da rede guest do Forescout configurada e operacional. Para integração da base de usuários com o firewall da Palo Alto acesse o artigo abaixo: